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RAPPORT’ 

Hieronder zijn opgenomen het advies van de Afdeling advisering van de 
Raad van State d.d. 26 augustus 2015 en het nader rapport d.d. 13 januari 
2016, aangeboden aan de Koning door de Staatssecretaris van Veiligheid 
en Justitie. Het advies van de Afdeling advisering van de Raad van State 
is cursief afgedrukt. 

Bij Kabinetsmissive van 1 juli 2015, no. 2015001159, heeft Uwe Majesteit, 
op voordracht van de Staatssecretaris van Veiligheid en Justitie, bij de 
Afdeling advisering van de Raad van State ter overweging aanhangig 
gemaakt het voorstel van wet houdende regels over het verwerken van 
gegevens ter bevordering van de veiligheid en de integriteit van elektro¬ 
nische informatiesystemen die van vitaal belang zijn voor de Nederlandse 
samenleving en regels over het melden van ernstige inbreuken (Wet 
gegevensverwerking en meldplicht cybersecurity), met memorie van 
toelichting. 

Ingevolge het voorstel wordt de Minister van Veiligheid en Justitie belast 
met een aantal taken die dienen ter voorkoming of beperking van het 
uitvallen van de beschikbaarheid of het verlies van integriteit van 
informatiesystemen van vitale aanbieders, en van andere aanbieders die 
onderdeel zijn van de rijksoverheid, en ter verdere versterking van de 
digitale weerbaarheid van de samenleving. Het voorstel vestigt daarmee 
een wettelijke grondslag voor het verwerken van gegevens, waaronder 
persoonsgegevens, door de Minister. Tevens introduceert het voorstel een 
meldplicht voor zogenoemde vitale aanbieders indien er sprake is van een 
inbreuk op de veiligheid van hun informatiesysteem. De taken en 
bevoegdheden die het voorstel aan de Minister van Veiligheid en Justitie 
toedeelt, worden verricht door het Nationaal Cyber Security Centrum 
(NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie. 


' De oorspronkelijke tekst van het voorstel van wet en van de memorie van toelichting zoals 
voorgelegd aan de Afdeling advisering van de Raad van State Is ter Inzage gelegd bij het 
Centraal Informatiepunt Tweede Kamer 
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De Afdeling advisering van de Raad van State adviseert het voorstel aan 
de Tweede Kamer te zenden, maar acht op onderdelen een dragende 
motivering of aanpassing van het voorstel aangewezen. De toegevoegde 
waarde van de voorgestelde meldplicht wordt onvoldoende gemotiveerd. 
Indien deze wel toereikend kan worden gemotiveerd, zou een regeling 
betreffende de handhaving van de meldplicht moeten worden overwogen. 
Daarnaast is niet overtuigend gemotiveerd waarom het voorstel artikel 9, 
eerste lid, van de Wet bescherming persoonsgegevens (Wbp) buiten 
toepassing laat bij verstrekking van gegevens ingevolge een verzoek van 
het NCSC. 

Blijkens de mededeling van de Directeur van Uw kabinet van 1 juli 2015, 
nr. 2015001159, machtigde Uwe Majesteit de Afdeling advisering van de 
Raad van State haar advies inzake het bovenvermelde voorstel van wet 
rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 26 augustus 
2015, nr. W03.15.0205/11, bied ik U hierbij aan. 

1. Toegevoegde waarde meldplicht 

Ingevolge het voorstel geeft een vitale aanbieder de Minister van 
Veiligheid en Justitie onverwijld kennis van een inbreuk op de veiligheid 
of een verlies van integriteit van zijn informatiesysteem waardoor de 
beschikbaarheid of betrouwbaarheid van een product of dienst in 
belangrijke mate wordt of kan worden onderbroken.^ De toelichting bij het 
voorstel motiveert onvoldoende de toegevoegde waarde van deze 
meldplicht. Volgens de toelichting sluit het voorstel aan bij een bestaande 
publiek-private samenwerking. Het nut en de noodzaak van het delen van 
vertrouwelijke gegevens met betrekking tot de ICT-inbreuken worden 
bovendien binnen de doelgroep breed gedragen.^ Nu alle betrokkenen al 
bereid zijn tot samenwerking, lijkt een wettelijke meldingsplicht 
overbodig. Voor zover in de bestaande praktijk onduidelijkheid bestaat 
over de wijze waarop een melding kan worden gedaan en welke gegevens 
daarbij van belang zijn, kan het NCSC hierover informatie verschaffen of 
afspraken maken met de betrokken branches. 

Indien niettemin de toegevoegde waarde van de voorgestelde wettelijke 
meldplicht toereikend kan worden gemotiveerd, rijst vervolgens de vraag 
waarom het voorstel niet voorziet in handhaving van de meldplicht. Ook 
zijn betrokken partijen niet verplicht de adviezen van het NCSC op te 
volgen. Als de voorgestelde meldplicht daadwerkelijk noodzakelijk is om 
de eigen verantwoordelijkheid van de Minister van Veiligheid en Justitie 
voor de digitale weerbaarheid van de Nederlandse samenleving te 
versterken en maatschappelijke ontwrichting door het uitvallen van vitale 
systemen te voorkomen, mag worden verwacht dat toezicht wordt 
gehouden op de naleving van de meldplicht en een sanctie wordt gesteld 
op het niet nakomen van de verplichting."^ 

Voorts wijst de Afdeling op het voorstel voor een EU-richtlijn over 
netwerk- en informatiebeveiliging (NIB-richtlijn).^ Als de betreffende 
richtlijn wordt vastgesteld, is het waarschijnlijk dat het stelsel van 
Nederlandse meldplichten weer zal moeten worden aangepast of 


^ Artikel 6, eerste lid. 

^ Memorie van toelichting, paragraaf 2.9. 

Zie ook aanwijzing 11 van de Aanwijzingen voor de regelgeving. 

® Voorstel voor een Richtlijn van het Europees parlement en de Raad houdende maatregelen om 
een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te 
waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013 (zie ook Kamerstukken I 
2013/14, 33 602, C). 
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aangevuld. Nu de meldplicht kennelijk al spontaan wordt nageleefd, lijkt 
het zinvol de Europese besluitvorming af te wachten. 

De Afdeling adviseert de toegevoegde waarde van de voorgestelde 
meldplicht dragend te motiveren of anders hiervan af te zien. Indien de 
meldplicht dragend wordt gemotiveerd, geeft de Afdeling in overweging 
te voorzien in een regeling betreffende de handhaving van de meldplicht. 

1. Nut en noodzaak van het met het NCSC delen van vertrouwelijke 
gegevens over ICT-inbreuken worden binnen de doelgroep weliswaar 
breed gedragen, maar dat wil niet zeggen dat alle ICT-inbreuken waarop 
de voorgestelde meldplicht ziet, nu reeds aan het NCSC worden gemeld. 
Een wettelijke verplichting zoals vervat in dit wetsvoorstel, benadrukt het 
maatschappelijke belang van deze meldingen, wat naar mijn verwachting 
zal leiden tot een verdere vergroting van de meldingsbereidheid van vitale 
aanbieders, ook zonder dat de wet voorziet in toezicht en sancties. 

Toezicht en sancties worden voorgeschreven in de concept-NIB-richtlijn, 
maar zien daar niet alleen op de meldplichten bij verschillende overheids¬ 
instanties, maar ook op de plicht voor aanbieders om hun informatiesys¬ 
temen voldoende te beveiligen. De richtlijn laat het aan de lidstaten over 
om te bepalen bij welke overheidsinstanties belangrijke incidenten 
gemeld moeten worden en welke instantie of instanties wordt of worden 
belast met het toezicht op de naleving van de diverse verplichtingen uit de 
richtlijn en met de handhaving daarvan. Implementatie van deze 
onderdelen van de richtlijn vergt keuzes die veel overleg vragen en tijd 
kosten, onder meer vanwege het grote aantal betrokken sectoren en de 
diversiteit ervan. Om dit proces efficiënt vorm te geven, geef ik er de 
voorkeur aan de wettelijke regeling van toezicht op en handhaving van de 
verschillende genoemde plichten, waaronder de meldplicht bij het NCSC, 
zodra de richtlijn is vastgesteld in onderlinge samenhang ter hand te 
nemen. Met een wettelijke meldplicht zónder toezicht en handhaving kan 
op korte termijn echter een concrete eerste stap worden gezet. 

Naar aanleiding van dit advies heb ik paragraaf 2.9 van de toelichting 
verduidelijkt. 

2. Verzoek om gegevensverstrekking 

De Minister van Veiligheid en Justitie kan een rechtspersoon of een 
orgaan daarvan verzoeken om gegevens te verstrekken die redelijkerwijs 
noodzakelijk zijn voor de vervulling van de in het voorstel genoemde 
taken. Op de verstrekking van persoonsgegevens ingevolge een zodanig 
verzoek is volgens het voorstel artikel 9, eerste lid, van de Wbp niet van 
toepassing.^ Artikel 9, eerste lid, Wbp bepaalt dat persoonsgegevens niet 
verder worden verwerkt op een wijze die onverenigbaar is met de 
doeleinden waarvoor ze zijn verkregen (doelbindingvereiste). 

Het College bescherming persoonsgegevens heeft in zijn advies bezwaar 
gemaakt tegen dit onderdeel van het wetsvoorstel; het heeft erop 
gewezen dat artikel 43 Wbp reeds voorziet in een mogelijkheid om het 
doelbindingvereiste buiten toepassing te laten voor zover een zwaar¬ 
wegend algemeen belang dit noodzakelijk maakt. Dit hoeft volgens het 
College niet in de wet te worden geregeld. Volgens de toelichting echter 
vereist de toepassing van artikel 43 Wbp een beoordeling per geval; dit 
brengt voor de verstrekkende organisatie onzekerheid mee of zij wel 


Artikel 4. 
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handelt in overeenstemming met de Wbp/ Omdat verstrekking van 
persoonsgegevens noodzakelijk kan zijn om maatschappelijke 
ontwrichting te voorkomen ofte beperken, wil de regering de betreffende 
onzekerheid wegnemen en houdt zij vast aan het algeheei buiten 
toepassing laten van het doelbindingvereistef 

De Afdeling acht deze motivering niet overtuigend. Het doelbindingsver- 
eiste is een elementaire waarborg met betrekking tot de bescherming van 
persoonsgegevens, waar niet lichtvaardig van kan worden afgeweken. Het 
feit dat in het kader van individuele verzoeken bij betrokken rechtsper¬ 
sonen onzekerheid kan bestaan over de vraag of ingevolge artikel 43 Wbp 
het doelbindingsvereiste buiten toepassing kan worden geiaten, is ais 
zodanig onvoldoende grond om het doelbindingsvereiste dan maar bij 
alie verzoeken buiten toepassing te laten. Indien niettemin een wettelijke 
uitzondering zou worden overwogen dan zou in het voorstel moeten 
worden gepreciseerd in welke categorieën van gevallen van het doelbin¬ 
dingsvereiste kan worden afgeweken.^ 

De Afdeling adviseert het voorstel aan te passen. 

2. De Afdeling wijst er terecht op dat onzekerheid bij de «bevraagde» 
organisaties over de reikwijdte van artikel 43 Wbp als zodanig onvol¬ 
doende grond is om bij wet af te wijken van artikel 9, eerste lid, Wbp. De 
toelichting bij artikel 4 is dienovereenkomstig aangepast. Anders dan de 
Afdeling in navolging van het College bescherming persoonsgegevens 
echter stelt, biedt artikel 43 Wbp onvoldoende ruimte om artikel 9, eerste 
lid, Wbp buiten toepassing te laten in gevallen waarin het NCSC een 
verzoek doet op grond van artikel 4, eerste lid, met name als de verdere 
verwerking noodzakelijk is ter voorkoming of beperking van het uitvallen 
van de beschikbaarheid of het verlies van integriteit van elektronische 
informatiesystemen van vitale aanbieders die niet behoren tot de 
rijksoverheid (zie de aanhef van artikel 2, eerste lid, van het wetsvoorstel). 
Een dergelijke verdere verwerking zal lang niet altijd gerechtvaardigd 
worden door het belang van de «veiligheid van de staat» of «gewichtige 
economische en financiële belangen van de staat en andere openbare 
lichamen» (onderdelen a en c van artikel 43 Wbp). Gezien de NCSC-taken 
zullen de belangen «de voorkoming, opsporing en vervolging van 
strafbare feiten», «het toezicht op de naleving van wettelijke voorschriften 
die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c» en 
«de bescherming van de betrokkene» (onderdelen b, d en e (eerste 
gedeelte) van artikel 43) geen rechtvaardiging bieden voorverstrekking 
van persoonsgegevens aan het NCSC. Op het eerste gezicht zou een 
verdere verwerking als hier bedoeld wellicht verdedigd kunnen worden op 
de grond dat zij noodzakelijk is ter bescherming van «de rechten en 
vrijheden van anderen» (onderdeel e (tweede gedeelte) van artikel 43), 
maar dat zou een ruime uitleg van deze restgrond vergen, terwijl artikel 43 
bedoeld is voor uitzonderlijke omstandigheden en restrictief geïnterpre¬ 
teerd moet worden (Kamerstukken II 1997/98, 25 892, nr. 3, p. 92). Naar 
mijn oordeel rechtvaardigt het zwaarwegende algemene belang dat het 
NCSC zijn wettelijke taken kan vervullen, de voorgestelde afwijking van de 


^ Artikel 43 Wbp bepaalt: De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 
en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van: a. de veiligheid 
van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige 
economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht 
op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, 
bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden 
van anderen. 

® Artikelsgewijze toelichting bij artikel 4. 

® Bij die precisering kunnen een of meer van de in artikel 9, tweede lid, Wbp genoemde factoren 
een rol spelen. 
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Wbp. Overigens mag het NCSC slechts verzoeken om verstrekking van 
gegevens die noodzakelijk zijn voor de vervulling van de in artikel 2, 
eerste lid (zie hierna onder punt 5 voor deze beperking tot het eerste lid), 
omschreven taken. Hiermee voorziet het wetsvoorstel in het door de 
Afdeling geschetste alternatief om wettelijk te preciseren in welke 
categorieën van gevallen van het doelbindingsvereiste kan worden 
afgeweken. 

3. Gegevensverstrekking aan het OM 

Het voorstel bevat een strikte regeling over de verstrekking van vertrou¬ 
welijke gegevens met betrekking tot een aanbieder door het NCSC aan 
derden. Ingevolge het voorstel worden alleen vertrouwelijke gegevens 
met betrekking tot een aanbieder verstrekt ter uitvoering van de in het 
voorstel genoemde taken van het NCSC. Gegevens die herleid kunnen 
worden tot een aanbieder, kunnen slechts worden verstrekt aan de 
Algemene Inlichtingen- en Veiligheidsdienst (AiVDj en aan bij ministeriële 
regeling aangewezen computercrisisteams (CERT's) voor zover dat 
dienstig is voor het bevorderen van maatregelen ter voorkoming of 
beperking van een verstoring van het maatschappelijk verkeer.Het is 
niet duidelijk waarom gegevens die herleid kunnen worden tot een 
aanbieder^ ’ niet door het NCSC uit eigen beweging kunnen worden 
doorgeleid aan het Openbaar Ministerie ten behoeve van de opsporing 
van strafbare feiten. Het lijkt niet waarschijnlijk dat deze mogelijkheid ten 
koste gaat van de bereidheid van de betrokken vitale aanbieders om een 
veiligheidsinbreuk te melden. De opsporing zal immers mede ten dienste 
staan aan de voorkoming van dergelijke inbreuken in de toekomst. 

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en 
zo nodig het voorstel aan te passen. 

3. Het tweede lid van artikel 9 staat alleen als de betrokken aanbieder 
ermee instemt, toe dat het NCSC uit eigen beweging vertrouwelijke 
herleidbare gegevens verstrekt aan het openbaar ministerie. De reden 
voor deze beperking is toegelicht in paragraaf 4 van de toelichting. Als 
aanbieders terughoudend worden met het delen van vertrouwelijke 
informatie met het NCSC, bijvoorbeeld uit angst voor reputatieschade, 
benadeling van hun concurrentiepositie of toenemende kwetsbaarheid 
voor gerichte aanvallen, benadeelt dat het NCSC in ernstige mate in het 
goed kunnen uitvoeren van zijn taken. Voor in het bijzonder vertrouwelijke 
herleidbare gegevens geldt daarom dat de vertrouwelijkheid voldoende 
moet zijn gewaarborgd en de kring van andere organisaties waarmee die 
gegevens kunnen worden gedeeld beperkt wordt gehouden. Als 
aanbieders, zoals de Afdeling veronderstelt, vooral de voordelen zien van 
verstrekking door het NCSC van vertrouwelijke herleidbare gegevens aan 
het openbaar ministerie, dan zullen zij logischerwijs instemmen met die 
verstrekking. Zoals in de toelichting op artikel 9 is uiteengezet staat de 
regeling in dat artikel er daarnaast niet aan in de weg dat het NCSC 
vertrouwelijke gegevens die niet herleidbaar zijn, uit eigen beweging aan 
bijvoorbeeld het openbaar ministerie verstrekt. 

Overigens zien het eerste en tweede lid van artikel 9 alleen op 
verstrekking van de daarin bedoelde vertrouwelijke gegevens «ter 
uitvoering van de in artikel 2 genoemde taken». Deze leden zien dus niet 
op verplichtingen tot verstrekking door het NCSC van vertrouwelijke 
gegevens uit hoofde van andere wetten, zoals artikel 126nc e.v. Wetboek 


Artikel 9, tweede lid. 

” Vertrouwelijke gegevens die niet herleidbaar zijn tot betrokken aanbieders kunnen, aldus de 
toelichting, wel uit eigen beweging worden verstrekt aan de politie of het Openbaar Ministerie. 
Artikelsgewijze toelichting bij artikel 9. 
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van Strafvordering (vorderen van gegevens door de officier van justitie) 
en artikel 160 van dat wetboek (verplichte aangifte van bepaalde ernstige 
misdrijven). 

4. De Afdeling verwijst naar de bij dit advies behorende redactionele 
bijlage. 

4. De eerste redactionele opmerking is overgenomen, de tweede en derde 
niet: 

- Het doel van de verstrekking van vertrouwelijke herleidbare gegevens 
aan de AlVD en de MIVD en aan door de Minister aangewezen 
computercrisisteams is het bevorderen van maatregelen ter voorko¬ 
ming of beperking van een verstoring van het maatschappelijk verkeer. 
Voor dat doel is het criterium noodzakelijk een te hoge drempel. 
Verstrekking moet ook mogelijk zijn als dat voor dat doel van belang 
kan zijn. Vaak zal dat pas na verstrekking blijken, bijvoorbeeld in 
combinatie met gegevens die al bekend waren bij de ontvangende 
organisatie. Het criterium dienstig wordt bijvoorbeeld ook gebruikt in 
de artikelen 1:90, vierde lid, 1:91, eerste lid, en 1:93, eerste lid. Wet op 
het financieel toezicht. 

- Ik heb gekozen voor de eerste persoon enkelvoud omdat ik de 
memorie als enige bewindspersoon onderteken. 

5. Van de gelegenheid is gebruikgemaakt om de verwijzing naar artikel 2 
in artikel 4, eerste lid («de in artikel 2 genoemde taken»), te beperken tot 
de taken, genoemd in het eerste lid van artikel 2. De taak, genoemd in het 
tweede lid van artikel 2, ziet namelijk alleen op verstrekking door het 
NCSC aan derden van gegevens die het NCSC heeft verkregen ingevolge 
artikel 2, eerste lid, onder c, en kan naar zijn aard geen grondslag bieden 
voor verzoeken als bedoeld in artikel 4 tot verstrekking van gegevens door 
derden aan het NCSC. 

Verder zijn de in artikel 8 bedoelde nadere regels over de meldplicht 
facultatief gemaakt. De noodzaak van dergelijke nadere regels staat op dit 
moment nog onvoldoende vast. 

Ten slotte is de memorie van toelichting geactualiseerd (paragrafen 1, 2.3, 
2.6, 2.7, 2.9 en 8). 

De Afdeling advisering van de Raad van State geeft LI in overweging het 
voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaai, 
nadat met het vorenstaande rekening zal zijn gehouden. 

De vice-president van de Raad van State, 

J. P.H. Donner 

Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en 
de gewijzigde memorie van toelichting aan de Tweede Kamer der 
Staten-Generaai te zenden. 

De Staatssecretaris van Veiligheid en Justitie, 

K. H.D.M. Dijkhoff 
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Redactionele bijlage bij het advies van de Afdeling advisering van 

de Raad van State betreffende no. W03.15.0205/11 

- In artikel 4, eerste lid en artikel 7 «redelijkerwijs noodzakelijk» 
vervangen door: noodzakelijk. 

- In artikel 9, tweede lid, de zinsnede «uitsluitend verstrekken voor zover 
dat dienstig is voor het bevorderen van maatregelen ter voorkoming of 
beperking van een verstoring van het maatschappelijk verkeer», 
vervangen door: uitsluitend verstrekken voor zover dit noodzakelijk is 
ter voorkoming of beperking van een verstoring van het maatschappe¬ 
lijk verkeer. 

- De memorie van toelichting niet in de eerste persoon enkelvoud, maar 
in de eerste persoon meervoud formuleren, dan wel de woorden «de 
regering» gebruiken. 
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